Dựa vào tính chất của hoạt động thực thi, có thể hiểu thực thi pháp luật bảo mật thông tin khách hàng trong HĐNH chính là hoạt động nghề nghiệp của các tổ chức HĐNH trong việc thực hiện toàn bộ các quy định pháp luật về bảo mật thông tin nhằm bảo đảm các thông tin của khách hàng chỉ được tiếp cận bởi những người có thẩm quyền tương ứng. Theo cách hiểu này, thực thi pháp luật bảo mật thông tin khách hàng là hình thức thực hiện pháp luật, trong đó chủ thể nắm giữ bí mật thông tin của khách hàng phải thực hiện nghĩa vụ của mình bằng những hành động tích cực nhằm bảo đảm bí mật thông tin khách hàng chỉ được tiếp cận với những người có thẩm quyền tương ứng.
Xem xét dưới góc độ bản chất của hoạt động thực thi, thực thi pháp luật bảo mật thông tin khách hàng trong HĐNH được hiểu là tổng thể các hành vi hợp pháp, có mục đích của các chủ thể liên quan đến hoạt động bảo mật thông tin khách hàng trong HĐNH, thông qua việc cụ thể hóa các quy định về bảo mật vào thực tiễn nhằm bảo đảm bí mật thông tin khách hàng chỉ được tiếp cận với những người có thẩm quyền tương ứng, đồng thời các chủ thể này còn có nghĩa vụ ngăn chặn và chống lại bên thứ ba tiết lộ thông tin bí mật của khách hàng. Theo cách hiểu này, thực thi pháp luật bảo mật thông tin khách hàng không chỉ là nghĩa vụ phát sinh đối với chủ thể trực tiếp nắm giữ bí mật thông tin của khách hàng trong việc ban hành các quy định nội bộ, thực hiện các quy định pháp luật về bảo mật thông tin khách hàng; mà còn của cả cơ quan quản lý nhà nước về HĐNH trong quá trình chi tiết hóa văn bản quy phạm pháp luật do cơ quan nhà nước, người có thẩm quyền ban hành và thực hiện quyền thanh tra, giám sát việc thực hiện các quy định pháp luật về bảo mật, áp dụng các biện pháp can thiệp trực tiếp nhằm tăng cường hiệu lực của việc thực thi pháp luật của các chủ thể liên quan theo luật định. Thực thi pháp luật bảo mật thông tin khách hàng trong HĐNH nên hiểu theo hướng thứ hai. Theo cách hiểu này, thực thi pháp luật bảo mật thông tin khách hàng trong HĐNH có các đặc điểm sau:
Thứ nhất, về chủ thể thực thi pháp luật bảo mật thông tin khách hàng: Thực thi pháp luật bảo mật thông tin của khách hàng không chỉ là nghĩa vụ của các tổ chức HĐNH - chủ thể trực tiếp nắm giữ bí mật thông tin của khách hàng, mà còn có Ngân hàng Nhà nước với tư cách là chủ thể thực hiện chức năng quản lý nhà nước về tiền tệ, HĐNH và chủ thể có liên quan trong quá trình thực hiện nghĩa vụ giữ bí mật thông tin của khách hàng. Các chủ thể này có nghĩa vụ bảo đảm bí mật thông tin của khách hàng chỉ được tiếp cận với những người có thẩm quyền tương ứng, đồng thời ngăn chặn và chống lại người thứ ba tiết lộ thông tin bí mật của khách hàng.
Thứ hai, hình thức thực thi pháp luật bảo mật thông tin khách hàng: Thực thi pháp luật bảo mật thông tin khách hàng trong HĐNH là quá trình triển khai các quy định pháp luật về bảo mật thông tin của khách hàng vào thực tiễn đời sống thông qua các hành vi pháp lý: Tuân thủ pháp luật, thi hành pháp luật, sử dụng pháp luật, áp dụng pháp luật.
Thứ ba, nội dung thực thi pháp luật bảo mật thông tin khách hàng: Chủ thể thực hiện chức năng quản lý nhà nước về tiền tệ, HĐNH; chủ thể trực tiếp nắm giữ bí mật thông tin của khách hàng và các chủ thể có liên quan phải tiến hành một số hoạt động nhất định nhằm ngăn chặn hành vi tiết lộ bí mật thông tin khách hàng hoặc kiềm chế thực hiện một số hoạt động nhất định nhằm bảo đảm thực hiện hiệu quả nghĩa vụ bảo mật thông tin liên quan đến khách hàng trong quá trình nhận tiền gửi, cấp tín dụng và cung ứng dịch vụ thanh toán qua tài khoản[1].
Thứ tư, hậu quả pháp lý của việc không thực thi hoặc thực thi không đúng pháp luật bảo mật thông tin khách hàng: Các chủ thể có nghĩa vụ bảo mật thông tin khách hàng theo cam kết hoặc theo luật định sẽ phải gánh chịu những trách nhiệm pháp lý nhất định khi không thực hiện hoặc thực hiện không đúng nghĩa vụ bảo mật thông tin khách hàng của mình.
Tóm lại, thực thi pháp luật bảo mật thông tin khách hàng trong HĐNH không chỉ là nghĩa vụ của tổ chức HĐNH phải thực hiện trong quá trình hoạt động nghề nghiệp của mình, mà còn là nghĩa vụ của chủ thể HĐNHthể hiện trong hoạt động chi tiết hóa quy định pháp luật, thực hiện hoạt động thanh tra, giám sát việc thực hiện nghĩa vụ ấy và các chủ thể có liên quan theo luật định trong việc bảo đảm bí mật thông tin khách hàng chỉ được tiếp cận với những người có thẩm quyền tương ứng.
2. Nội dung thực thi pháp luật bảo mật thông tin của khách hàng trong hoạt động ngân hàng
2.1. Chủ thể và hình thức thực thi pháp luật bảo mật thông tin của khách hàng
Một là, thực thi pháp luật bảo mật thông tin khách hàng của cơ quan quản lý nhà nước về tiền tệ và hoạt động ngân hàng. Bảo mật thông tin khách hàng sẽ giúp cho các tổ chức HĐNH tối thiểu hóa được các thiệt hại khi có rủi ro xảy ra, đồng thời ảo vệ sự phát triển liên tục, bền vững của các tổ chức HĐNH. Nhận thức rõ vai trò quan trọng của hoạt động này trong sự phát triển của các tổ chức HĐNH và của nền kinh tế, cơ quan quản lý nhà nước về tiền tệ và HĐNH đã hướng dẫn chi tiết những quy định trong các văn bản quy phạm pháp luật của cơ quan nhà nước có thẩm quyền về lĩnh vực này; đồng thời thực hiện quyền thanh tra, giám sát các tổ chức HĐNH nhằm góp phần bảo đảm sự phát triển an toàn, lành mạnh của hệ thống các tổ chức tín dụng (TCTD) và hệ thống tài chính; bảo vệ quyền và lợi ích hợp pháp của người gửi tiền và khách hàng của TCTD; duy trì và nâng cao lòng tin của công chúng đối với hệ thống các TCTD; bảo đảm việc chấp hành chính sách, pháp luật về tiền tệ và ngân hàng; góp phần nâng cao hiệu quả và hiệu lực quản lý nhà nước trong lĩnh vực tiền tệ và ngân hàng[2].
Bên cạnh đó, cán bộ Ngân hàng Nhà nước (NHNN) - với tư cách là chủ thể có liên quan trong quá trình thực hiện hoạt động quản lý nghiệp vụ của mình phải giữ bí mật thông tin hoạt động nghiệp vụ của NHNN, của các tổ chức HĐNH và bí mật tiền gửi của tổ chức, cá nhân theo quy định của pháp luật[3]. Việc thực thi nghĩa vụ bảo mật thông tin khách hàng của chủ thể này được thực hiện thông qua sự tuân thủ các nghĩa vụ pháp lý liên quan đến bảo mật thông tin của khách hàng đã được quy định trong pháp luật ngân hàng, đồng thời phải chịu trách nhiệm về các hành vi pháp lý do mình thực hiện.
Hai là, thực thi pháp luật bảo mật thông tin khách hàng đối với chủ thể trực tiếp nắm giữ bí mật thông tin khách hàng. Khi khách hàng thực hiện các giao dịch với các tổ chức HĐNH thì nhân viên, người quản lý, người điều hành tổ chức HĐNH, chi nhánh ngân hàng nước ngoài - những chủ thể có mối quan hệ trực tiếp với khách hàng sẽ sở hữu nhiều thông tin quan trọng về khách hàng. Do đó, thực thi pháp luật bảo mật thông tin khách hàng của chủ thể này cũng được thể hiện ở việc thi hành, tuân thủ các quy định pháp luật ngân hàng về nghĩa vụ bảo mật. Điều này có nghĩa là, trong khi thi hành các quy định pháp luật về bảo mật thông tin khách hàng, các chủ thể này phải kiềm chế, không hành động, thỏa thuận trái pháp luật; không thực hiện hoặc cam kết những điều mà pháp luật nghiêm cấm; việc thực hiện luôn phải tự giác, kiềm chế thực hiện các hành vi vi phạm pháp luật về bảo mật.
Ngoài ra, các tổ chức HĐNH cũng có thể thông qua hoạt động áp dụng pháp luật để cụ thể hóa hoặc quy định thêm các văn bản nội bộ như cẩm nang tín dụng hoặc sổ tay tín dụng; quy định nghĩa vụ bảo mật này trong các hợp đồng hoặc cam kết với khách hàng trong các hợp đồng mẫu phù hợp với quy định của pháp luật để thực thi pháp luật bảo mật thông tin của khách hàng.
Ba là, thực thi pháp luật bảo mật thông tin khách hàng đối với chủ thể thứ ba có liên quan. Trong quá trình HĐNH, không chỉ có các tổ chức HĐNH nắm giữ thông tin bí mật của khách hàng mà còn có nhiều chủ thể vì những lý do khác nhau (như: Được pháp luật cho phép quyền yêu cầu cung cấp thông tin hoặc được sự chấp thuận của khách hàng[4], được khách hàng ủy quyền; do hoạt động nghề nghiệp….) cũng có được các thông tin của khách hàng trong HĐNH. Các chủ thể này có thể là các tổ chức kiểm toán và kiểm toán viên thực hiện kiểm toán độc lập; các cá nhân được chủ tài khoản ủy quyền được quyền yêu cầu cung cấp thông tin trong phạm vi ủy quyền; tổng giám đốc tổ chức bảo hiểm tiền gửi khi tổ chức này thực hiện quyền và nghĩa vụ của mình; cơ quan nhà nước được quyền yêu cầu cung cấp thông tin để thực hiện nhiệm vụ trong quá trình điều tra, truy tố, xét xử và thi hành án[5], thừa phát lại[6]…
Bốn là, thực thi pháp luật bảo mật thông tin đối với khách hàng của các tổ chức HĐNH. Thực thi pháp luật bảo mật thông tin của chủ thể này được thể hiện thông qua việc sử dụng quyền công bố hoặc chia sẻ các thông tin bí mật của mình hoặc thỏa thuận những thông tin cần được giữ bí mật; ngoài ra, chủ thể này còn có thể sử dụng quyền khiếu nại, khởi kiện khi các chủ thể nắm giữ bí mật thông tin vi phạm quyền được bảo mật thông tin của mình; đồng thời, khách hàng cũng phải thực hiện các nghĩa vụ, các thỏa thuận trong việc giữ bí mật thông tin của chính mình. Đây là nội dung cũng có tác động đến hiệu quả thực thi nghĩa vụ bảo mật thông tin của khách hàng, bởi lẽ bản thân khách hàng khi giao dịch với các tổ chức HĐNH cũng phải thực thi nghĩa vụ bảo mật thông tin liên quan đến tiền gửi, giao dịch của mình, đồng thời khách hàng phải thận trọng hơn trong việc sử dụng quyền của mình liên quan đến việc cung cấp thông tin bí mật cho chủ thể được ủy quyền thực hiện các giao dịch với các tổ chức HĐNH; khách hàng phải có ý thức chủ động giữ bí mật thông tin của mình.
Như vậy, có thể thấy, việc thực thi pháp luật bảo mật thông tin khách hàng không chỉ dừng lại ở quy định về việc thực thi pháp luật bảo mật thông tin khách hàng của các chủ thể trực tiếp cung cấp dịch vụ ngân hàng cho khách hàng, mà đó còn phải là nghĩa vụ của chủ thể thứ ba có liên quan nắm giữ bí mật thông tin của khách hàng trong quá trình hoạt động của mình. Tuy nhiên, pháp luật Việt Nam hiện hành chưa dự liệu được hết các chủ thể liên quan nào phải có nghĩa vụ bảo mật thông tin của khách hàng.
2.2. Phạm vi thực thi pháp luật bảo mật thông tin khách hàng
Trong quá trình HĐNH, các tổ chức HĐNH nắm giữ rất nhiều thông tin về khách hàng, do khách hàng cung cấp hoặc tổ chức tự thu thập để đáp ứng cho hoạt động của mình. Về nguyên tắc, các tổ chức HĐNH phải có nghĩa vụ bảo mật đối với tất cả các thông tin này. Tuy nhiên, không phải tất cả các thông tin này đều có giá trị, có tính bí mật. Trong số đó, có những thông tin mà người thứ ba có thể dễ dàng thu thập được thông qua các phương tiện thông tin đại chúng hoặc được khách hàng sử dụng công khai trong quan hệ kinh doanh của mình. Do đó, các tổ chức HĐNH, chủ thể thứ ba được cung cấp thông tin hợp pháp không buộc phải giữ bí mật tất cả các thông tin về khách hàng mà mình nắm giữ. Các chủ thể này chỉ có nghĩa vụ đối với những thông tin có giá trị, có tính bí mật đối với nhiều người, nếu tiết lộ sẽ có thể gây thiệt hại cho khách hàng. Vậy tổ chức HĐNH có nghĩa vụ bảo mật những thông tin nào của khách hàng, thời gian nghĩa vụ này phát sinh và chấm dứt, xác định được vấn đề này có ý nghĩa hết sức quan trọng trong việc thực thi pháp luật bảo mật thông tin của khách hàng.
- Đối với nội dung thực thi pháp luật bảo mật thông tin khách hàng
Pháp luật Việt Nam hiện hành ghi nhận những thông tin mà các TCTD, chi nhánh ngân hàng nước ngoài phải bảo mật đó là những thông tin liên quan đến tài khoản, tiền gửi, tài sản gửi và các giao dịch của khách hàng tại TCTD, chi nhánh ngân hàng nước ngoài[7]. Cụ thể đó là những thông tin liên quan đến tiền gửi của khách hàng bao gồm số hiệu tài khoản, mẫu chữ ký của chủ tài khoản hoặc người được chủ tài khoản uỷ quyền, các thông tin về doanh số hoạt động và số dư tài khoản; các thông tin liên quan đến giao dịch gửi, rút tiền, chuyển tiền và tài sản của khách hàng; nội dung các văn bản, giấy tờ, tài liệu; tên và mẫu chữ ký của người gửi tiền và tài sản[8].
Tuy nhiên, HĐNH không chỉ là hoạt động nhận tiền gửi và tài sản gửi mà còn nhiều hoạt động khác như hoạt động cấp tín dụng và cung ứng các dịch vụ thanh toán[9]: (i) Trong hoạt động hoạt động cấp tín dụng, các TCTD có quyền yêu cầu khách hàng cung cấp tài liệu chứng minh phương án sử dụng vốn khả thi, khả năng tài chính của mình, mục đích sử dụng vốn hợp pháp, biện pháp bảo đảm tiền vay trước khi quyết định cấp tín dụng[10]. Ngoài ra, các TCTD còn có thể yêu cầu khách hàng cung cấp toàn bộ các báo cáo hàng quý, năm về tình hình sản xuất kinh doanh và những thông tin khác liên quan đến vốn vay. Như vậy, TCTD thông qua quá trình xét duyệt dự án cho vay đã sở hữu gần như toàn bộ các thông tin liên quan đến tài chính và hoạt động kinh doanh của khách hàng, kể cả những bí mật kinh doanh khác của khách hàng; (ii) Trong hoạt động cung ứng dịch vụ thanh toán, các thông tin liên quan đến khách hàng trong hoạt động cung ứng dịch vụ thanh toán gồm thông tin về chủ tài khoản, giao dịch và số dư trên tài khoản thanh toán của khách hàng[11], ngoài ngân hàng cung ứng dịch vụ thanh toán, các thông tin này có thể có một chủ thể khác cũng sở hữu những thông tin này thông qua trung gian là ngân hàng cung ứng dịch vụ thanh toán. Điều này có nghĩa là, những thông tin liên quan đến khách hàng có thể được biết đến bởi một TCTD khác không trực tiếp giao dịch với khách hàng.
Như vậy, thông tin liên quan đến khách hàng cần được bảo mật rất rộng nhưng pháp luật Việt Nam hiện hành chưa liệt kê đầy đủ phạm vi thông tin khách hàng cần được bảo mật.
- Thời gian thực thi pháp luật bảo mật thông tin khách hàng
Về nguyên tắc, nghĩa vụ bảo mật thông tin khách hàng chỉ phát sinh khi hợp đồng hình thành và chấm dứt khi hợp đồng chấm dứt. Tuy nhiên, bí mật thông tin của khách hàng có thể phát sinh khi chưa có hợp đồng hoặc khi hợp đồng đã chấm dứt. Một cá nhân hay một tổ chức tuy chưa từng có giao dịch với tổ chức HĐNH nhưng có thể đến các tổ chức này để xin vay vốn. Khi đó, trong hồ sơ vay vốn của cá nhân hay tổ chức có những thông tin cần phải giữ bí mật với bên thứ ba như tình hình tài chính của cá nhân, doanh nghiệp và dự án đầu tư, phương thức sản xuất, kinh doanh[12]. Nếu tổ chức HĐNH và cá nhân hay tổ chức này chưa hoặc không ký kết hợp đồng tín dụng nhưng thông tin này bị tổ chức HĐNH tiết lộ cho đối thủ cạnh tranh thì việc tiết lộ thông tin này có thể gây thiệt hại lớn cho cá nhân, tổ chức. Hoặc một loại khách hàng nữa của các tổ chức HĐNH cũng có những thông tin cần được bảo vệ, đó là khách hàng quá khứ của tổ chức HĐNH - những khách hàng đã chấm dứt giao dịch nhưng vẫn có những thông tin này vẫn còn giá trị nếu bị đối thủ cạnh tranh của khách hàng khai thác hay những thông tin này vẫn cần được giữ bí mật vì vấn đề riêng tư.
Khoản 2 Điều 387 Bộ luật Dân sự năm 2015 quy định: Trường hợp một bên nhận được thông tin bí mật của bên kia trong quá trình giao kết hợp đồng thì có trách nhiệm bảo mật thông tin và không được sử dụng thông tin đó cho mục đích riêng của mình hoặc cho mục đích trái pháp luật khác. Đồng thời, khoản 5 Điều 517 Bộ luật Dân sự năm 2015 cũng có quy định giữ bí mật thông tin mà mình biết được trong thời gian thực hiện công việc, nếu có thỏa thuận hoặc pháp luật có quy định.
Tuy nhiên, thông tin bí mật nào tổ chức HĐNH phải có nghĩa vụ giữ, thời hạn phải giữ là bao lâu thì không được quy định, nếu không có thỏa thuận thời hạn giữ bí mật thông tin khách hàng thì sẽ giải quyết như thế nào thì lại chưa được pháp luật đề cập.
3. Biện pháp nâng cao hiệu lực thực thi pháp luật bảo mật thông tin khách hàng trong hoạt động ngân hàng
Để nâng cao hiệu lực thực thi pháp luật bảo mật thông tin khách hàng trong HĐNH cần xem xét và thực hiện một số vấn đề sau:
Một là, rà soát các quy định hiện hành về pháp luật bảo mật thông tin của khách hàng qua đó sửa đổi những quy định còn chồng chéo, mâu thuẫn hoặc không phù hợp; ban hành đồng bộ các quy phạm pháp luật để điều chỉnh chủ thể có nghĩa vụ bảo mật thông tin khách hàng, nội dung thông tin cần bảo mật, thời hạn bảo mật thông tin của khách hàng; giới hạn, những trường hợp ngoại lệ cung cấp bí mật thông tin khách hàng. Đồng thời, quy định khung pháp lý xử phạt đủ mạnh, trong đó lượng hóa hình phạt dựa trên phạm vi, mức độ tiết lộ bí mật thông tin của khách hàng, cần phải xác định rõ hơn vi phạm nào thì phải xử phạt vi phạm hành chính, trường hợp nào phải truy cứu trách nhiệm hình sự, từ đó phân định rõ vụ việc thuộc trách nhiệm cụ thể của cơ quan nào, tạo điều kiện thuận lợi cho khách hàng khi khiếu kiện, tránh trường hợp đùn đẩy giữa các cơ quan có thẩm quyền, đồng thời giúp các cơ quan có thẩm quyền giải quyết vụ việc dễ dàng hơn.
Hai là, phải có cơ chế kiểm soát và điều chỉnh quá trình thực thi pháp luật bảo mật thông tin khách hàng trong HĐNH. Để hoạt động thực thi pháp luật bảo mật thông tin khách hàng trong HĐNH đạt được hiệu quả, quyền và nghĩa vụ pháp lý của các bên được bảo đảm, từ đó góp phần ổn định và phát triển kinh tế - xã hội thì một trong những yếu tố không thể thiếu là tổ chức bộ máy quản lý nhà nước có liên quan hoạt động này. Hiện nay, trong tổ chức bộ máy của Nhà nước ta, tham gia quản lý hoạt động kinh doanh tiền tệ có NHNN. Thực thi pháp luật bảo mật thông tin của khách hàng của NHNN ngoài việc ban hành các văn bản quy phạm pháp luật hướng dẫn chi tiết việc thực thi nghĩa này còn thể hiện ở chức năng thanh tra, giám sát. Trong quá trình thanh tra, giám sát ngân hàng sẽ phát hiện ra các tồn tại, sai phạm trong hoạt động của tổ chức HĐNH và đưa ra các kiến nghị khắc phục hoặc xử lý các hành vi vi phạm, bảo đảm hoạt động của các đối tượng thanh tra, giám sát thực hiện đúng quy định của pháp luật, chấp hành đúng chính sách, pháp luật về lĩnh vực tiền tệ, ngân hàng.
Như vậy, để thực thi tốt chức năng, nhiệm vụ của mình, NHNN - thông qua các cơ quan chuyên môn trực thuộc phải xác định rõ những nội dung quản lý cần có sự phối hợp giữa các cơ quan, thời gian phải thực hiện và đặc biệt là trách nhiệm pháp lý khi các cơ quan này vi phạm nghĩa vụ phối hợp trong hoạt động quản lý. Đồng thời, cần tăng cường giám sát chặt chẽ việc thực thi các văn bản pháp luật của tổ chức HĐNH thông qua các đợt thanh tra định kỳ dưới sự phối hợp của các cơ quan hữu quan, xác định rõ những nội dung thanh tra, giám sát cần có sự phối hợp giữa các cơ quan, thời gian phải thực hiện và đặc biệt là trách nhiệm pháp lý khi các cơ quan này vi phạm nghĩa vụ phối hợp trong hoạt động thanh tra, giám sát; giải quyết khiếu nại, tố cáo; xử lý vi phạm trong lĩnh vực cung cấp thông tin và xử lý vi phạm, khiếu nại trong hoạt động bảo mật thông tin của khách hàng một cách kịp thời, minh bạch.
Ba là, chủ động tạo điều kiện và có cơ chế để tổ chức HĐNH, nhân viên tổ chức HĐNH thực hiện tốt nhất nghĩa vụ bảo mật thông tin khách hàng. Pháp luật ngân hàng vẫn chỉ mang tính chất “khung”, do đó để nâng cao hiệu quả của việc thi hành, tuân thủ các quy định pháp luật về bảo mật thông tin khách hàng, tổ chức HĐNH cần chú trọng việc ban hành quy định nội bộ nhằm hướng dẫn cách thức thi hành trách nhiệm bảo mật hoặc cung cấp thông tin bí mật của khách hàng trong những trường hợp luật định. Đây cũng là yếu tố rất quan trọng bảo đảm thực thi pháp luật bảo mật thông tin khách hàng trong HĐNH được hiệu quả và cũng là cơ sở pháp lý để cơ quan nhà nước có thẩm quyền áp dụng pháp luật để xét xử kịp thời, đúng pháp luật trong trường hợp tổ chức HĐNH, nhân viên tổ chức HĐNH vi phạm pháp luật bảo mật thông tin khách hàng, bảo đảm cho pháp luật đi vào cuộc sống.
Đại học Ngân hàng TP. Hồ Chí Minh
Tài liệu tham khảo: